News

"Darkhotel"-Cyberspionage-Gruppe wieder aktiv

Hacking über WLANs in Luxushotels

Redaktion RiskNET10.08.2015, 17:25

Nach dem Anfang Juli 2015 bekannt gewordenen Hack der italienischen Firma Hacking Team, einem Lieferanten von Spionagesoftware für Regierungen und Strafverfolgungsbehörden, setzen nun einige Cyberspionage-Gruppen die erbeuteten Werkzeuge für ihre böswilligen Angriffe ein. Diese Exploits zielen auf Sicherheitslücken in Adobe Flash Player und Windows. Zumindest einer dieser Exploits wird von der mächtigen Darkhotel-Gruppe1 eingesetzt, die damit wieder verstärkt Führungskräfte zumeist in Hotels angreift.

Im Jahr 2014 entdeckten die Cybercrime-Experten von Kaspersky Lab die Elite-Cyberspionage-Gruppe Darkhotel. Die Gruppe ist bekannt dafür, über kompromittierte WLANs in Luxushotels hochrangige Führungskräfte anzugreifen. Unmittelbar nach dem Einbruch bei Hacking Team am 5. Juli 2015, setzten die Akteure hinter Darkhotel eine Zero-Day-Schwachstelle aus dem Bestand von Hacking Team ein. Es ist nicht bekannt, dass Darkhotel ein Kunde bei Hacking Team ist. Daher dürfte sich die Gruppe die Dateien beschafft haben, sobald diese öffentlich verfügbar wurden.

Es ist nicht das erste Mal, dass Darkhotel Zero-Day-Sicherheitslücken nutzt. Kaspersky Lab nimmt an, dass die Cyberspionage-Gruppe in den vergangenen Jahren ein gutes halbes Dutzend Zero-Day-Exploits eingesetzt hat, die vor allem auf Adobe Flash Player zielten. Zur Beschaffung hat Darkhotel offenbar beträchtliche Summen investiert. Mit der aktuellen Angriffswelle im Jahr 2015 erweiterte Darkhotel seinen Aktionsradius rund um die Welt, wobei gezielte Spearphishing-Attacken auf Opfer aus Deutschland sowie Nord- und Südkorea, Russland, Japan, Bangladesch, Thailand, Indien und Mozambique ausgeführt wurden. 

Unfreiwillige Hilfe von Hacking Team

Die auf APT-Attacken (Advanced Persistent Threats) spezialisierte Darkhotel-Gruppe ist schon seit knapp acht Jahren aktiv. Zu ihren Methoden zählt der Einsatz von Social Engineering-Techniken, gestohlenen Sicherheitszertifikaten und die Kompromittierung von WLAN-Netzen in Hotels. Neu ist jetzt die Verwendung von Zero-Day-Exploits aus dem Bestand von Hacking Team. Hier ein Überblick über die Methoden von Darkhotel:

  • Die Gruppe setzt weiterhin gestohlene Zertifikate aus seinem Bestand ein. Sie werden für die Downloader und Backdoor-Trojaner benutzt, um das angegriffene System zu täuschen. Die jüngst verwendeten Zertifikate stammen von der Firma Xuchang Hongguang Technology Co. Ltd. 
  • Unermüdliches Spearphishing: die APT-Angriffe von Darkhotel erfolgen im Abstand von mehreren Monaten immer wieder beim gleichen Ziel, unter Einsatz derselben Social-Engineering-Schemata. 
  • Einsatz eines Zero-Day-Exploits: die kompromittierte Webseite "tisone360.com" enthält die ein ganzes Arsenal von Backdoor-Trojanern und Exploits, darunter auch den Zero-Day-Exploit von Hacking Team.

"Darkhotel ist mit einem weiteren Exploit für Adobe Flash Player zurück, und dieses Mal steht der Exploit anscheinend in Zusammenhang mit dem Leck bei Hacking Team", erklärt Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab. "Die Gruppe hat zuvor schon einen Flash-Exploit auf der kompromittierten Website deponiert, welchen wir bereits im Januar 2014 als Zero-Day an Adobe meldeten. Darkhotel hat reihenweise Zero-Days und aktuelle Exploits von Flash verbraucht. Vermutlich hat die Gruppe noch einige Exploits zum Einsatz gegen hochrangige Personen weltweit auf Lager. Aus früheren Angriffen wissen wir, dass Darkhotel CEOs, Vorstandsmitglieder sowie leitende Angestellte im Bereich Marketing, Vertrieb und Entwicklung im Visier hat." 

Seit dem vergangenen Jahr hat Darkhotel zusätzlich an seinen Verteidigungstechniken gearbeitet, und zum Beispiel seine Checkliste der Anti-Viren-Software erweitert. Der Darkhotel Downloader kann die Anti-Viren-Technologien von 27 Sicherheitsanbietern identifizieren, mit der Intention, sich vor ihnen zu verbergen. 

1 securelist.com/blog/research/71713/darkhotels-attacks-in-2015 und securelist.com/blog/research/66779/the-darkhotel-apt/ 

[ Bildquelle: © xurzon - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...

Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses...